InfoCryptofr Phishing Crypto par Lazarus en 2025
#post_seo_title
Actualités

Phishing Crypto par Lazarus en 2025

De Aucun commentaire7 Mins de Lecture

Imaginez recevoir un e-mail d’un recruteur LinkedIn qui vous propose exactement le poste de vos rêves chez un exchange crypto de premier plan. Le message est impeccable, le logo parfait, le ton chaleureux et professionnel. Vous cliquez, vous vous connectez… et en quelques heures, des centaines de millions de dollars disparaissent. Ce scénario n’est pas une fiction. C’est la réalité quotidienne que fait vivre le groupe Lazarus en 2025.

Lazarus, la machine de guerre cybernétique nord-coréenne

En 2025, le nom qui revient le plus souvent dans les rapports de cybersécurité crypto n’est ni Anonymous ni un groupe russe. C’est Lazarus. Ce collectif lié au régime de Pyongyang est devenu la menace numéro un pour l’écosystème des cryptomonnaies. Selon le dernier rapport d’AhnLab publié fin novembre 2025, Lazarus est impliqué dans plus de 68 % des attaques majeures recensées cette année.

Leur spécialité ? Le spear phishing. Contrairement au phishing de masse qui envoie des millions de mails mal écrits, le spear phishing est une attaque chirurgicale. Les hackers passent des semaines, parfois des mois, à étudier leur cible : son poste, ses relations LinkedIn, ses publications, ses centres d’intérêt. Tout est utilisé pour fabriquer un appât irrésistible.

« Le spear phishing de Lazarus est tellement sophistiqué qu’il est presque impossible à détecter sans formation spécifique. Ils ne volent plus des portefeuilles, ils volent des entreprises entières. »

Kaspersky Threat Intelligence Report, novembre 2025

Les attaques qui ont marqué 2025

L’année 2025 aura été catastrophique. Le 22 février, l’exchange Bybit subissait le plus gros hack de son histoire : 1,4 milliard de dollars volatilisés en quelques heures. Les enquêteurs on-chain ont rapidement fait le lien avec Lazarus grâce à une adresse de commingling utilisée quelques semaines plus tard lors du vol de 30 millions sur Upbit.

Mais ces deux attaques ne sont que la partie visible de l’iceberg. Tout au long de l’année, des développeurs Solana, des auditeurs de smart contracts, des investisseurs institutionnels et même des journalistes crypto ont été ciblés. Le mode opératoire est toujours le même : un message LinkedIn ou un e-mail prétendant provenir d’une conférence prestigieuse, d’un fonds d’investissement ou d’un partenaire stratégique.

Chronologie des principales attaques Lazarus 2025 :

  • Février – Bybit : 1,4 milliard $ volés via un faux entretien d’embauche
  • Mars – Cabinet d’audit blockchain européen : clés privées dérobées
  • Juin – Fonds DeFi américain : 87 millions $ détournés après un faux partenariat
  • Septembre – Upbit : 30 millions $ via un e-mail imitant la banque centrale coréenne
  • Novembre – Tentative sur Coinbase déjouée de justesse

Comment Lazarus fabrique ses pièges parfaits

Le vrai génie de Lazarus réside dans sa capacité à disparaître dans la masse des communications professionnelles légitimes. Leurs e-mails ne contiennent ni faute d’orthographe, ni lien suspect évident. Au contraire, tout est millimétré.

Ils créent de faux profils LinkedIn ultra-réalistes, parfois en piratant de vrais comptes dormants. Ils rejoignent les bons groupes, commentent les bonnes publications, établissent une présence crédible pendant plusieurs mois. Puis vient le message privé : « J’ai vu votre intervention à Devcon, nous recrutons un lead security chez [grand exchange], intéressé ? »

Le piège le plus courant ? Une invitation à remplir un formulaire Google Docs ou Notion pour une prétendue due diligence. Le document contient un tracker qui, une fois ouvert, infecte l’ordinateur avec un malware indétectable par la plupart des antivirus. Une fois à l’intérieur du réseau, les hackers cartographient tout : qui a accès aux cold wallets, qui valide les transactions, quels sont les processus de sécurité.

Ils ne cherchent pas à voler 100 000 dollars. Ils veulent les clés du royaume.

ZachXBT, février 2025

L’IA et les deepfakes : la nouvelle arme fatale

Ce qui rend Lazarus particulièrement terrifiant en 2025, c’est son usage massif de l’intelligence artificielle. Les e-mails sont désormais rédigés par des modèles entraînés spécifiquement sur des années de correspondances professionnelles crypto. Le résultat ? Des messages indiscernables d’un vrai mail de recruteur ou de partenaire.

Pire : les deepfakes audio et vidéo entrent en scène. Plusieurs victimes ont rapporté avoir reçu des appels Zoom où leur « recruteur » avait le visage et la voix parfaitement imités d’un vrai employé d’un grand exchange. Ces appels durent parfois plus d’une heure, le temps d’établir la confiance et d’obtenir des informations sensibles.

Un développeur senior d’un protocole DeFi a ainsi été convaincu de partager son écran pour « finaliser un contrat intelligent ». En réalité, il montrait à Lazarus l’interface d’administration de son protocole… avec les clés privées en clair.

Pourquoi les mesures classiques ne suffisent plus

La plupart des entreprises crypto se croient protégées parce qu’elles ont :

  • Un antivirus à jour
  • La 2FA sur tous les comptes
  • Des cold wallets multisig

Mais Lazarus ne passe pas par là. Ils passent par vous. Par l’employé qui clique sur le mauvais lien un vendredi soir. Par le développeur flatté qu’on reconnaisse enfin son travail. Par le responsable trésorerie qui reçoit un « ordre urgent » de son PDG (en deepfake audio).

Les 7 signaux d’alerte que même les pros manquent souvent :

  1. Une proposition trop belle pour être vraie (poste de rêve, investissement miracle)
  2. Un sentiment d’urgence (« nous devons finaliser avant lundi »)
  3. Une demande de connexion hors des canaux officiels
  4. Un lien vers un domaine qui ressemble à l’original mais avec une petite différence (g00gle.com)
  5. Une pièce jointe même si elle semble anodine
  6. Un appel vidéo où la personne refuse d’allumer sa caméra « pour cause de problème technique »
  7. Toute demande d’information sensible sans validation par un canal tiers

Comment se protéger réellement en 2025

La bonne nouvelle ? Il existe des contre-mesures efficaces. La mauvaise ? Elles demandent de changer profondément les habitudes.

1. La règle d’or : jamais de canal unique

Toute demande sensible (transfert de fonds, partage de clés, signature de transaction) doit être validée par au moins deux canaux différents. Votre PDG vous appelle pour un virement urgent ? Raccrochez et rappelez-le sur son numéro connu. C’est tout.

2. Les wallets vraiment sécurisés

Utilisez des wallets avec des fonctionnalités anti-phishing intégrées. Certains wallets nouvelle génération détectent quand179 quand vous essayez de signer une transaction vers une adresse connue pour être malveillante ou quand le domaine du dApp est suspect.

3. La formation continue

Les entreprises qui ont le moins souffert en 2025 sont celles qui faisaient des simulations de phishing toutes les semaines. Pas une fois par an. Toutes les semaines. Avec des scénarios de plus en plus réalistes.

4. Le principe du « zéro confiance »

Même votre meilleur développeur peut être compromis. Les accès aux cold wallets doivent être fragmentés, temporaires, et nécessiter plusieurs validations physiques (pas juste des signatures).

Ce que l’avenir nous réserve

Les experts s’accordent à dire que 2026 sera encore pire. Avec l’arrivée de modèles d’IA encore plus puissants et l’amélioration constante des deepfakes, la frontière entre vrai et faux va complètement disparaître.

Certains prédisent même l’apparition de « phishing conversationnel » où un agent IA appellera directement les employés, s’adaptera en temps réel à leurs réponses, et finira par obtenir ce qu’il veut après une conversation de 45 minutes parfaitement naturelle.

Dans ce contexte, la vigilance humaine reste la dernière ligne de défense. Mais elle doit être complétée par des outils techniques toujours plus sophistiqués et surtout par une culture de la sécurité impitoyable.

Car une chose est certaine : Lazarus ne s’arrêtera pas. Tant que la Corée du Nord aura besoin de financer son régime par tous les moyens, et tant que les cryptomonnaies représenteront la cible la plus rentable de l’histoire du crime organisé, ces attaques continueront.

La question n’est plus de savoir si vous serez ciblé.

La question est : serez-vous prêt quand ça arrivera ?

Les cryptoactifs représentent un investissement risqué. Cet article ne constitue pas un conseil en investissement.

Partager

Passionné et dévoué, je navigue sans relâche à travers les nouvelles frontières de la blockchain et des cryptomonnaies. Pour explorer les opportunités de partenariat, contactez-nous.

D'autres Articles

Laisser une réponse

Exit mobile version